欧盟执行委员会(WHO)将根据上述标准进行充分的承认，每四年进行一次审查，得到充分承认的国家将公布在《Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR》和欧盟执行委员会网站上。安道尔、根西岛、泽西岛、阿根廷、以色列、新西兰、加拿大、马恩、瑞士、法罗群岛、日本和乌拉圭目前达到了充分的承认标准。

z=31825&from=ar;x-expires=1707077329&x-signature=KcCeFTcRsgcAZEGP7XH%2FIuK4%2FfY%3D&index=2" width="640" height="452"/>

来源：Privacy Study Groups

2. 保障措施

获得欧盟充分性认定的国家毕竟是少数。当传输目的地没有获得充分性认定，但能够提供适当的措施来保护数据主体的权利和自由，且数据主体可以申请法律救济，那么向其传输数据也是被允许的。这些保障措施包括以下八项：

（1）公共当局或机构之间有具备法律约束力和执行力的文书。

（2）约束性企业规则。

（3）欧盟委员会通过的标准数据保护条款。

（4）监管机构通过并经欧盟委员会核准的标准数据保护条款。

（5）经核准的行为守则，以及具有约束力和执行力的由第三国控制者/处理者给出的采取适当保障措施和保护数据主体权利的承诺。

（6）经核准的认证机制，以及具有约束力和执行力的由第三国控制者/处理者给出的采取适当保障措施和保护数据主体权利的承诺。

（7）控制者/处理者与第三国或国际组织的控制者/处理者/接收者之间的合同条款。

（8）在公共当局或机构间的行政安排中加入的规定中，包括可执行和有效的数据主体权利。

目前企业传输数据较为常见的保障措施是约束性企业规则（BCR）和标准合同条款（SCC）。

约束性企业规则主要适用多组织或跨国企业在其体系内传输个人数据。标准合同条款被认为是欧盟个人数据出境的主要路径，是经欧盟委员会核准的条款，企业不得随意更改。大多数中国企业都会选择签署SCC作为跨境传输数据的有效保障。

03跨境传输的特殊情况

如果传输目的地既未通过欧盟委员会的充分性认定，也无法采取以上提到的保障措施，只有在满足以下条件时，才可向第三国或国际组织传输个人数据：

（1）传输不是重复性的。

（2）只涉及有限数量的数据主体。

（3）对于控制者实现其所诉求的令人信服的合法利益确属必要，且这些利益不会因数据主体的权益或权力与自由而否决。

（4）控制者已评估与数据传输有关的所有情况，并根据该评估为个人数据的保护提供了适当的保障。

也就是说，当数据传输行为是偶发的、必要的，涉及的数据主体较少，并且数据控制者或处理者也采取了适当的保护措施来保障数据安全，此类跨境数据传输无需获得额外的许可。

04合规建议

考虑到实际跨国业务的复杂程度，出海企业应对数据全生命周期中涉及到欧盟的环节格外注意，明确其是否受GDPR的跨境传输规则约束。对于确实符合GDPR跨境传输定义的业务，跨国公司可考虑采用约束性企业规则、普通的企业可采用标准合同条款，确保数据传输双方都应遵守。

2020年7月，欧盟法院做出Schrems II案裁决后，对标准合同条款（SCC）的法律效力又作了进一步说明，明确数据输送双方除了应遵守标准合同条款外，还应核实传输目的地所在国家是否有相应的立法，是否能为传输到该国的个人数据提供GDPR所要求的保护力度。这一裁决也使得美国和欧盟之间的隐私盾协议被判无效，多家美国互联网企业与欧盟之间的数据传输业务受到了极大的干扰。GDPR执法案例的不断更新也迫使企业应持续关注其最新进展。